Skip to content

    Cybersikkerhet Common Criteria-evaluering og sertifisering

    "Common Criteria" (CC), er en internasjonal sertifiseringsordning for produkter med høye krav til sikkerhet. Den er basert på ISO/IEC 15408 standarden sammen med et internasjonalt godkjent rammeverk for å evaluere sikkerheten til information technology equipment (ITE).

    Kontakt oss

    Common Criteria evaluering og sertifisering

    I takt med en stadig økende digitalisering på verdensbasis blir funksjoner og enheter digitalisert og koblet på nett. Samtidig oppstår en situasjon der ulike former for dataangrep utgjør en av de største truslene i samfunnet vårt. En trussel mot den enkeltes personvern og mot selskapers økonomi, men også en trussel mot hele samfunnets sikkerhet.

    «Common Criteria for Information Technology Security Evaluation» (CC) er drivkraften for den bredest tilgjengelige gjensidige anerkjennelsen av sikre IT-produkter, hvor:
    • CC og den tilhørende «Common Methodology for Information Technology Security Evaluation» (CEM) er det tekniske grunnlaget for en internasjonal avtale, «Common Criteria Recognition Arrangement» CCRA, som sikrer at produkter kan evalueres i henhold til bestemte sikkerhetsegenskaper for et bestemt tillitsnivå.
    CC er fleksibel i hva som skal evalueres og er derfor ikke bundet opp av omfanget til IT-produkter. I sammenhengen ved evaluering bruker CC følgende begreper:
    • «Target of Evaluation» (TOE). En TOE er definert som et sett med software, firmware og/eller hardware ev ledsaget av guidance.
    • «Evaluation Assurance Level» (EAL). Hver EAL gir en økende skala som balanserer nivået på oppnådd tillit med kostnadene og gjennomførbarheten av å oppnå den grad av tillit. Syv hierarkisk ordnet evaluering tillitsnivåer (EAL 1 – EAL 7) er definert i CC for vurdering av en TOEs tillit, slik at hver EAL representerer mer tillit enn alle lavere EALer. En økning i tillit fra EAL til EAL medfører flere tillits-komponenter samt økende strenghet, omfang, og/eller dybde

     

    Hvordan Nemko kan hjelpe

    Nemko er gjennom sitt datterselskap System Sikkerhet AS:

    • Akkreditert av Norsk Akkreditering som IT testlaboratorium (TEST 182) etter NS-ISO 17025.
    • Lisensiert som evalueringsfirma (EVIT) under den norske sertifiseringsordningen for IT-sikkerhet, dvs SERTIT som er den offentlige sertifiseringsmyndigheten.

    System Sikkerhet har dermed vist nødvendig kompetanse til å gjennomføre CC-evalueringer og har store aktører i Norge, i både offentlig og privat sektor, som kunder. CC sine syv evalueringsnivåer er definert som Evaluation Assurance Levels (EALs), hvorav akkrediteringen til System Sikkerhet AS omfatter:

    • Sikkerhetsevaluering iht CC av IT produkter for omfanget EAL 1 – EAL 5, med referanse til standardene ISO/IEC 18045 (CEM) og ISO/IEC 15408 (CC).

    Hensikten til det internasjonale CC arrangementet (CCRA) med over 30 medlemsland (inkludert USA, Tyskland og Japan), er at IT-produkter som får et CC-sertifikat kan anskaffes eller brukes uten behov for ytterligere evaluering. CCRA omfatter i dag IT-produkter som er sertifisert for EAL 1 og EAL 2, mens EAL 1 - EAL 4 er anerkjent i Europa gjennom SOG-IS avtalen (denne vil i fremtiden bli erstattet med EUCC).

    CC oppnår høy tillit i markedet ved å sette strenge krav til alle som sertifiserer iht. ordningen, og med over 1 500 aktive sertifikater er CC den mest velegnede måten for en produsent å demonstrere høy grad av sikkerhet på produkter. Sertifiserings-ordningen er ofte satt som innkjøpskrav, spesielt for utstyr med ekstra høye krav til sikkerhet, for eksempel produkter for trådløs kommunikasjon, finans, infrastruktur eller militær bruk.

    Vi i Nemko har, gjennom System Sikkerhet, lang erfaring med evaluering i henhold til CC. System Sikkerhet har bl.a. autorisasjon til å foreta sikkerhetstesting av Forsvarets systemer. Teamet vårt har svært lang kompetanse innenfor dette fagområdet og er klarert for håndtering av gradert informasjon.

    Ta kontakt for mer informasjon om hvordan vi kan hjelpe til med evaluering for sertifisering eller hvis du vil ha veiledning for å oppnå sikrere produkter og løsninger.

    Kontakt Geir Langemyr på tlf. +47 992 82 931 eller e-post: geir.langemyr@nemko.com

     

    Fordeler ved å jobbe med Nemko

    Å jobbe med Nemko kan gi din bedrift muligheten til å løse de utfordringer som oppstår i arbeidet med cybersikkerhet.

    Anerkjent cybersikkerhet-ekspertise

    Systemsikkerhet AS, som ble oppkjøpt av Nemko i 2020, er Norges første rådgivere på informasjonssikkerhet. Ett av bare to norske testlaboratorier for informasjonssikkerhet  ihht Common Criteria godkjent av Nasjonal sikkerhetsmyndighet (NSM).

    Aktiv involvering i utvikling og implementering av standarder

    Nemkos ekspertteam arbeider aktivt nye og eksisterende standarder og holder seg kontinuerlig oppdatert på nye krav som innføres nasjonalt og internasjonalt.

    Alt på en plass

    Med vår kombinerte ekspertise i cybersikkerhet, produktsikkerhet, radio/telekommunikasjon og elektromagnetisk kompatibilitet (EMC), er Nemko en god samarbeidspartner for produsenter av elektriske produkter.

    Global support

    Med reperesentasjon i Asia, Europa og Nord-Amerika kan nemko hjelper deg lokalt med å nå din ønskede markedsadgang .

    For mer informasjon

    om hvordan Nemko kan hjelpe din virksomhet møte nåværende og kommende cybersikkerhetutfordringer

    Kontakt oss